Identigral, Inc

Ein aktueller Eintrag auf Identigral Blog darüber gesprochen, über Berechtigungen, anstatt nur die Verwaltung die Beziehung zwischen den Ansprüchen und der Benutzer / Rollen verwalten. Das klingt großartig, aber wie funktioniert das eigentlich in der Praxis?

Für unser Beispiel werden wir Oracle Identity Manager (OIM), Active Directory (AD) und der OIM-Anschluss für Active Directory verwenden. In der Serie von Artikeln zu diesem Thema werde ich einen Ansatz zur Verlängerung der Verbinder veranschaulichen und mit OIM Rahmen, so dass es von der Verwaltung des Active Directory-Benutzerkonto mit Basisebene Satz von Attributen für die Verwaltung der Beziehung zwischen Rechten und Benutzer schließlich gehen die Verwaltung die Ansprüche selbst. Als der erste Schritt in diesem Prozess das Basis AD-Benutzerkonto verwalten ist, werde ich damit anfangen.

Normalerweise ist es die Einführung der Prozessautomatisierung über einen Identitätsmanager-Tool wie OIM, die die Organisation zwingen die Regeln zur Erzeugung von E-Mail-Adressen und Anmeldungen zum ersten Mal zu artikulieren. Zwangsläufig decken die neu geschriebenen Anforderungen an den Erzeugungsalgorithmus drei Seiten und verfügen über einen kleinen Berg von Sonderfällen und erweiterte Kollisionslogik.

Warnung # 1. Wenn Sie einen einfachen, sinnvollen Satz schriftlicher Regeln, an erster Stelle zu erhalten, sind die Chancen gut, dass die wahren (und äußerst komplex) Anforderungen werden nicht angezeigt, bis das System in der Produktion ist, das kein Spaß Erfahrung.

Eines der komplexesten Probleme in Active Directory-Implementierungen ist, herauszufinden, wo im Verzeichnisbaum soll das Benutzerkonto gelegt werden. Typischerweise gibt es eine Reihe von Organisationseinheiten (OU) in AD, die jemandem Idee der org Hierarchie und einem von diesen Organisationseinheiten darstellen sollte als den untersten Ebene Behälter für das Benutzerkonto handeln. Gelegentlich macht die AD org Struktureinheit tatsächlich Sinn und die Platzierung des AD-Benutzerobjekts kann über einen einfachen Nachschlagalgorithmus bestimmt werden, die von dem Kern OIM Benutzerobjekt ein einzelnes Attribut verwendet, z.B.
der geografische Standort des Benutzers. Eine Tabelle in OIM-Datenbank speichert die Zuordnung vom Standort des Benutzers der Organisationseinheit. Doch dieser ideale Zustand ist selten, und die meiste Zeit werden Sie AD-Implementierungen mit einer großen Anzahl von Organisationseinheiten angeordnet idiosyncratically finden (Irrfahrt jemand?)

So wächst der „einfache Lookup“ Tisch oft zu Hunderten oder manchmal Tausende von Zeilen enthalten. In vielen Fällen werden Sie auch mehr als eine Variable benötigen die genaue Organisationseinheit zu bestimmen. Geben Sie mehrere verschachtelte Lookup-Tabellen oder Verwendung der Regel-und Gruppen Motor OIM. Jetzt
Sie können OIM konfigurieren, dass Benutzer zu suchen, die für die Lkw-Sparte arbeiten, in der Raleigh Büro (Standortcode) und Arbeit im Vertrieb befinden. Sie tun dies, indem sie in die „Lkw-Sparte“ Zweig der Organisationseinheit Struktur gehe, dann auf den Boden der US-Navigation -> North Carolina -> Raleigh -.> Verkaufsorg Einheit Baum Problem gelöst!

Leider ist das Problem nicht gelöst. Wie sich herausstellt, hat das Unternehmen zwei Niederlassungen in Raleigh mit den entsprechenden zwei Organisationseinheiten, die den gleichen Bürostandort Code teilen. Es ist auch wichtig, dass der Benutzer in der „richtigen“ Organisationseinheit gestellt wird oder er wird 90 Meilen in ein anderes Büro fahren, um seine freie Gesellschaft Mittagessen. Am Ende des Tages werden Sie oft feststellen, dass egal wie komplex oder anspruchsvolle Ihre Regeln (und deren Umsetzung in OIM) werden zur Bestimmung, wo das Konto in AD gehen, sie nicht in der Lage sein wird, dieses Problem mit 100% Genauigkeit zu lösen. in den meisten Fällen müssen Sie akzeptieren, dass Sie werden automatisch zu platzieren nur 95-99% der Nutzer in der Lage. der Rest wird manuell durchgeführt werden müssen.

Ein weiterer Ansatz ist die Änderung zu ermöglichen, außerhalb von OIM (beispielsweise in Active Directory) und vereinbaren die Änderung in OIM auftreten, aber das funktioniert nur, wenn Sie der Versöhnungsprozess aktualisieren das Profil in OIM ermöglichen. Ein dritte und bester Ansatz ist die Veränderung nach unten von der vertrauenswürdigen Quelle fließen zu lassen, wie Ihr HR-System. Wenn Sie vermeiden, wollen die Bedeutung argumentieren, der mit legalen Namen im HR-System mit den HR-Administratoren können Sie „bevorzugten Vornamen“ und „bevorzugt Nachnamen“ Felder in dem OIM Benutzerdatenmodell enthalten, so dass Sie damit umgehen können, ohne
mit den gesetzlichen Namen in HR zu ändern.

Aktualisieren des Schlüssel AD Attribute wie samaccountname, so dass es auf den neuen Namen basiert wird, kann gefährlich sein, weil einige Ihrer Downstream-Anwendungen auf dem samaccountname abhängen könnten bleiben konstant. Der üblicher Kompromiss ist die sich ändern
E-Mail-Adresse und die DisplayName- während die samaccountname unverändert zu halten.